イベントページでは、サイトやリモートユーザーがCato Cloudに接続したとき、あるいはファイアウォールやセキュリティエンジンによってアクションがブロックされたときなど、アカウント内で発生するすべてのイベントを表示します。
Catoイベントは、アカウント全体でのトラフィックとアクティビティに関する詳細なデータを提供します。 各イベントは、環境内で発生した事象に関する情報を記録し、接続試行、セキュリティアクション、または構成関連のアクティビティを含む、何が起こったのか、Catoがどのように対応したかを理解するためのコンテキストを含みます。
Cato管理画面のイベントページを使用して、トラフィックを調査し、アカウントアクティビティをモニタし、ポリシーの動作を検証し、運用上の問題をトラブルシューティングします。 イベントデータを時間範囲、イベントタイプ、フィールド値、プリセット、カスタムフィルター、または自然言語検索によって絞り込み、特定のネットワークやセキュリティに関する質問に関連するイベントに集中できます。
追加の分析、集中モニタリング、または保持期間のために、次のことができます:
- イベントを外部プラットフォームに送信してイベント連携を利用するには、こちらをご参照ください イベント連携の開始ガイド
- イベントページからイベントデータをエクスポートするには、以下をご覧ください ファイルへのイベントのエクスポート
イベントデータはCatoのデータレイクに保存されます。 詳細情報は、Catoデータレイクのガイドを参照してください。
注意
注意:
- イベントが生成された後、通常は5分以内にそのイベントに関するデータがイベントページに表示されます。 しかし、一部のイベントが最大30分程度遅れる可能性があります。
- エンティティ名(ポリシールールなど)の変更が該当するイベント項目に反映されるまでに最大24時間かかる場合があります。
クイックビューは、ページのパフォーマンスを向上させるために各イベントのフィールドを少なく表示するオプションです。 デフォルトで有効化されており、分析に最も一般的に必要とされるフィールドを表示します。 クイックビューエクスポートオプションを選択した場合、イベントページのパフォーマンスやエクスポートのパフォーマンスを大幅に向上させます。
クイックビューが有効な場合、手動で選択またはフィルターで指定されたすべてのフィールドも表示されます。
クイックビューを無効にすることで、すべてのフィールドをいつでも読み込むことができますが、これによりパフォーマンスに影響を与える可能性があります。
クイックビューが有効な場合、各イベントに対して次のフィールドが表示されます。 フィールドのリストは顧客の使用データに基づいています。
- 常時強制
- アプリケーションアクティビティカテゴリ
- アプリケーション
- アプリケーションアクティビティ
- アプリケーションリスク
- 認証方法
- BGP切断エラーコード
- バイパスメソッド
- バイパス理由
- カテゴリ
- フローで使用されているアプリケーション
- クライアント証明書名
- クライアントクラス
- クライアントバージョン
- 設定済みホスト名
- コネクタタイプ
- カスタムカテゴリ
- 宛先国
- 宛先IP
- 宛先がサイトまたはSDPユーザー
- 宛先ポート
- 宛先サイト
- デバイス証明書
- デバイス名
- デバイスOSタイプ
- デバイスポスチャプロファイル
- ディレクトリIP
- ディレクトリ同期結果
- DLPプロファイル
- DNSの保護カテゴリ
- DNSクエリ
- ドメイン名
- 出力PoP名
- イベントタイプ
- event_message
- 失敗の理由
- ファイルハッシュ
- ファイルタイプ
- フローのフルパスURL
- HAロール
- ホストIP
- ホストMACアドレス
- インターフェースID
- IPプロトコル
- 承認済みアプリ
- ISP名
- LANアクセス
- リンクの健全性-パケットロス
- リンクタイプ
- ログイン中のユーザー
- ログインタイプ
- ネットワークルール
- OSタイプ
- PoP名
- 公開送信元IPアドレス
- QoS優先度
- 参照URL
- 関連アプリケーション
- リスクレベル
- DNSポリシー
- ルールID
- SAMアカウント名
- セベリティ
- シグネチャーID
- ソケットリセット
- ソース国
- 送信元IPアドレス
- ソースがサイトまたはSDPユーザー
- ソースISP IP
- 送信元ポート
- ソースサイト
- スプリットトンネル
- ステータス
- サブネット名
- サブタイプ
- TCPアクセラレーション
- 脅威名
- 脅威の種類
- 判定
- 時間
- TLS証明書エラー
- TLSエラーの説明
- TLSエラータイプ
- TLSルール名
- トラフィックの方向
- 信頼できるネットワーク
- トンネルプロトコル
- URL
- ブラウザ別のサインイン内訳
- ユーザーディスプレイネーム
- ユーザーメールアドレス
- ユーザー名
- ユーザプリンシパル名
- Windowsドメイン名
ホーム > イベントページでアカウント全体のイベントを表示できます。
次の画像と表は、イベントページのイベントタブを説明します:
| アイテム | 名前 | 説明 |
|---|---|---|
| 1 | プリセット選択メニュー | ドロップダウンメニューには、一般的なシナリオのイベント、および手動で保存したカスタムプリセットを表示するためのフィルターオプションが含まれています。 |
| 2 | イベントフィルターバー | イベントに適用されたフィルターを表示します。 |
| 3 | 更新 | ページのイベントデータを更新します(更新には約5秒かかります) |
| 4 | 時間範囲 |
ページに表示されるイベントの時間範囲を選択します。 デフォルトの時間範囲は過去2日間で、前の48時間のイベントを表示します。 詳細については、時間範囲フィルターの設定を参照してください。 注: イベントページの最大日付範囲は31日です。 |
| 5 | イベントエクスポートメニュー | 現在のフィルター内のイベントをファイルにエクスポートします。 すべてのフィールド(列)または選択されたもののみをエクスポートできます。 |
| 6 | カスタムプリセットに追加 | 現在のフィルターをカスタムプリセットに追加し、フィルターを簡単に再利用できます。 |
| 7 | 自然言語検索 | 自然言語フィルターを使用してイベントリストをフィルタリングします。 |
| 8 | 手動フィルタートグル | 自然言語検索を使用した後、このボタンは手動フィルターオプションに戻ります。 |
| 9 | イベントタイムライン | フィルターされたイベントの数を表示します。 各イベントタイプは異なる色で表現されます。 |
| 10 | イベントの総数 | 現在の時間範囲とフィルター設定に対するイベントの総数を表示します。 |
| 11 | イベントタイプクイックフィルター | イベントタイプをクリックして、そのタイプのイベントを非表示にします。 たとえば、ネットワークをクリックすると、ページにネットワークイベントが表示されなくなります。 |
| 12 | イベントデータ表示タブ |
イベントデータの表示を選択するタブを選びます。
|
| 13 | イベント項目 |
フィルターされたイベントの生データに含まれるすべての項目です。 フィルターにフィールドを簡単に追加または除外できます。 各フィールドカテゴリーに一致するイベントのカーディナリティ(異なる値)を表示します。 カテゴリを展開すると、各イベントタイプに対するイベントの総数を表示します。 |
| 14 | イベントの時間と生データ | イベントが生成されたタイムスタンプと、イベント内の各フィールドの生データを表示します。 フィールドを新しい列としてこのテーブルに追加することもできます。 |
| 15 | クイックビュー | クイックビューはデフォルトで有効になっており、各イベントの分析に通常必要なすべての項目を表示します。 これによりページのパフォーマンスが大幅に向上します。 クイックビューエクスポートオプションを選択すると、エクスポートのパフォーマンスも向上します。 |
イベント ページには次の種類のイベントがあります:
-
接続性 - アカウント内のLANモニタリング、サイト、およびVPNクライアントに関する接続性に関連するイベント
- 接続性イベントはサイト接続の問題に関連しており、例えばパケットロスに関連するリンク品質が含まれます
-
検知と対応 - XOpsストーリーに関連するイベント
- 検知と対応イベントは、新しいおよび更新されたXOpsストーリーに関連しています。これらは対応ポリシーによって生成されます。
-
ポスチャー - ポスチャーチェックに関するイベント
- ポスチャーイベントは、ポスチャースコアの変更と新しいチェックに関連しています。
-
ルーティング - ルーティング、BGPイベント
- ルーティングイベントは、BGPセッションとルートのステータスに関連しています。
-
セキュリティ - 脅威保護およびファイアウォールエンジンによって生成されたイベント
- セキュリティイベントは潜在的なセキュリティ問題に関連しており、ファイアウォールのルールを微調整するのに役立ちます
-
ソケット管理 - ソケットに関連するイベント、例えばファームウェアの更新
- ソケット管理イベントは、ソケットが最新バージョンに正常に更新されたことに関連しています
-
システム - LDAP、ユーザー認識、ライセンス、ユーザーアカウントに関連するイベント
- システムイベントはディレクトリサービスの同期のステータスと関連しています
関連情報をすばやく見つけるのに役立つようにイベントをフィルターできます。
日常の言語を使用してイベントを簡単に検索でき、ページ上の関連データを絞り込んで識別できます。 詳細については、自然言語検索の使用を参照してください。
Catoのプリセットフィルターを使用するか、関連イベントを見つけるのに役立つカスタムフィルターを作成できます。 詳細については、ページ上のデータのフィルタリングを参照してください。
イベントページの左側のセクションにはイベントに含まれるフィールドと値が表示されます(前の例の項目5) フィールド値をイベントフィルターに簡単に追加して、関連するイベントを特定できます。
次の表は、イベントフィールド内のボタンについて説明しています:
| アイテム | 説明 |
|---|---|
| フィールドを選択されたフィールドセクションに追加し、ページはこれらのフィールドのイベントデータのみを表示します。 それを削除するには、列の上部にあるXをクリックします。 | |
| フィルターにフィールドの特定の値を追加します。 イベントページは自動的に更新され、新しいフィルターに一致するイベントを表示します。 | |
| このフィールドのこの特定の値の除外をフィルターに追加します。 イベントページは自動的に更新され、この値に一致しないイベントを表示します。 |
さらに、特定のフィールドのイベントデータを表示する新しい列を追加できます。 次の表は、イベントフィールド内のボタンについて説明しています:
イベントページのイベントデータをエクスポートして、追加の分析のためにファイルに保存できます。 一度に最大250,000件のイベントをファイルにエクスポートできます。 現在のフィルターと時間範囲のすべてのイベントがエクスポートに含まれます。 エクスポートに含めるイベントフィールドを制御するために、次の3つのオプションを使用できます:
- すべてのフィールド:エクスポートのすべてのイベントにすべてのフィールドを含めます。
- 選択されたフィールド:エクスポートで追加したフィールドのみを含めます。
- クイックビュー:クイックビューが有効な場合、手動で追加またはフィルターで明示的に言及されたフィールドとともにクイックビューフィールドのみを含めます。 このオプションは、エクスポートのパフォーマンスを向上させるために設計されています。
注意
注:
- 編集者のロールを持つCMA管理者のみがCSVファイルにエクスポートする権限を持っています。 管理者ロールの設定について詳しくは、管理者の管理を参照してください。
- 時々、イベントをエクスポートしようとしても、クエリが時間がかかりすぎてリクエストがタイムアウトするため失敗します。 イベントフィルターの時間枠を縮小するか、クイックビューのエクスポートオプションを使用してから再試行できます。
- イベントページのイベント数は四捨五入されることがあります。 例えば、イベントページには2Kイベントが表示され、実際のイベント数は1952です。
- イベントをエクスポートした後、CSVファイルのevents_count列に各行に対して複数のイベントが表示される場合があります。これは、同じイベントが1分間の間に複数回発生した場合に発生します。 この列のCOUNTは、エクスポートされたイベントの合計とは異なる数を示すことがあります。 エクスポートされたイベントの総数を表示するには、events_count列のSUMを使用します。
イベントをCSVファイルにエクスポートするには:
- (オプション) エクスポートする項目を選択するために追加をクリックします。
- イベントページから、イベントのエクスポートをクリックします。
-
エクスポートの範囲を選択します:イベント内のすべてのフィールド、フィルタ内の選択されたフィールド、またはクイックビューに含まれるフィールド。
- すべてのフィールド in the events
- 選択されたフィールド in the フィルター
- QuickViewに 含む フィールド
- OKをクリックします。 イベントはCSVファイルにエクスポートされ、ファイルはインターネットブラウザの設定に従ってダウンロードされます。
0件のコメント
サインインしてコメントを残してください。